[MASOCH-L] Phishing NetFlix

Lucas Willian Bocchi lucas.bocchi at gmail.com
Thu Jan 11 14:03:29 -02 2018


Leandro
Te recomendaria fazer o seguinte: como você tem vários outros servidores
rodando em vários locais diferentes, tentar enviar essas urls pra cada
servidor fazer um acesso e retornar uma resposta. No caso seria necessário
atualizar os servers que estão rodando spfbl por aí, porém é uma baita de
uma mão na roda por que tem muitos hospedados fora e isso ajudaria demais.

Em 11 de janeiro de 2018 14:01, Leandro <leandro at allchemistry.com.br>
escreveu:

> Realmente punk Ednilson! Até eu achar uma solução definitiva, fiz um
> quebra galho aqui.
>
> Criei uma constante $NOREDIR, que serve para limitar quais URLs não podem
> ser redirecionadas, fazendo com que o script pare antes do próximo salto de
> redirecionamento:
>
>    https://www.dropbox.com/s/ywprjz3k2ric1m0/uribl.pl?dl=0
>
> A ideia é colocar esses sites famosos e criticos nesta constante, para que
> os farsantes não consigam enganar o script. O teste para este caso
> funcionou:
>
>    ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
>    pallas.localbox.org is listed in 'uribl.spfbl.net'.
>
> Antes dessa mudança, estava retornando o host da NetFlix:
>
>    ubuntu at mx-br:~$ ./uribl.pl http://pallas.localbox.org/aswe.php
>    (www.netflix.com) is not listed in 'uribl.spfbl.net'.
>
> O chato é ter que ficar atualizando essa constante $NOREDIR sempre que um
> engraçadinho fazer esse tipo de palhaçada.
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7190 (das 8h às 12h)
>
> Em 11/01/2018 13:35, Ednilson Aureliano escreveu:
>
>> Pelo que pesquisei... Se esse phising for do mesmo proprietario do
>> dominio. Não vai ser facil.
>>
>>
>>
>> DOMAIN INFORMATION
>>
>> Domain:localbox.org
>>
>> Registration Date:2010-11-08
>>
>> Expiration Date:2018-11-08
>>
>> Updated Date:2018-01-09
>>
>>
>>
>> http://logs.nodejs.org/node.js/2012-03-25
>>
>> " 11:39:57 <nbari> that script is running here:
>> http://live.localbox.org:3000/"
>>
>>
>>
>> https://godoc.org/github.com/nbari/violetear
>>
>> " Package violetear - HTTP router"
>>
>>
>>
>> Com base nos cabeçalhos, se faz os redirecionamentos.
>>
>>
>>
>>
>>
>> ---- On Qui, 11 jan 2018 12:30:55 -0200 Leandro &
>> lt;leandro at allchemistry.com.br> wrote ----
>>
>>
>>
>>
>> Em 11/01/2018 11:45, Fabio De Martin escreveu:
>>
>> > Só pra complementar, alguns kits de phishing já tem este recurso
>>
>> > (limitar por geoip) embutido...
>>
>>
>>
>> Fábio. Você que tem muita experiência nessa área de segurança, saberia
>>
>> me dizer se existe algum parâmetro de requisição HTTP específico, ou
>>
>> então algum caminho dentro da URL, cuja resposta denuncie que o sujeito
>>
>> está usando um destes kits de phishing? Acho que não , mas vai que...
>>
>>
>>
>> >
>>
>> > ---
>>
>> > ::: Fabio De Martin
>>
>> > ::: +55 11 98515-1629
>>
>> > ::: skype:demartin
>>
>> >
>>
>> > On 1/11/18 11:39 AM, Leandro wrote:
>>
>> >> Em 11/01/2018 11:29, Fabio De Martin escreveu:
>>
>> >>> Este link está validando geo localização e possívelmente o
>> User-Agent.
>>
>> >>>
>>
>> >>> Quando você faz uma requisição por um IP fora do brasil ele
>>
>> >>> redireciona para www.netflix.com.
>>
>> >>>
>>
>> >>> Se você fizer o teste pelo virtua, por exemplo, ele faz o
>>
>> >>> direcionamento para a página com o phishing.
>>
>> >>
>>
>> >> Cacete. O cara foi genial! O que fiz foi acessar por um EC2 da
>> AWS de
>>
>> >> São Paulo, mas deve estar dando que esse IP é estrangeiro na geo
>>
>> >> localização.
>>
>> >>
>>
>> >> Teremos que avançar em nossa tecnologia de URIBL com técnica de
>>
>> >> redirecionamento. Vou refletir para achar uma solução.
>>
>> >>
>>
>> >>>
>>
>> >>> []s
>>
>> >>>
>>
>> >>> ---
>>
>> >>> ::: Fabio De Martin
>>
>> >>> ::: +55 11 98515-1629
>>
>> >>> ::: skype:demartin
>>
>> >>>
>>
>> >>> On 1/11/18 11:19 AM, Vinícius Santana wrote:
>>
>> >>>> Aparenta ser mesmo os parâmetros da requisição.
>> User-agent talvez?
>>
>> >>>>
>>
>> >>>> Se fizer uma request mais completa, o redirecionamento é
>> o mesmo
>>
>> >>>> que você
>>
>> >>>> encontrou no Firefox:
>>
>> >>>>
>>
>> >>>>
>>
>> >>>
>>
>> >>> __
>>
>> >>> masoch-l list
>>
>> >>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> >>
>>
>> >> __
>>
>> >> masoch-l list
>>
>> >> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> >
>>
>> > __
>>
>> > masoch-l list
>>
>> > https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>>
>> __
>>
>> masoch-l list
>>
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>>
>>
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list